Keyfactor Days 2027, la conferencia sobre seguridad de confianza, llega a San Diego!   Descubre lo que se avecina

Cómo ver y consultar una lista de certificados revocados
  • Inicio
  • Blog
  • PKI
  • Cómo ver y consultar una lista de certificados revocados

Cómo ver y consultar una lista de certificados revocados

PKI

Junio 23, 2026

Saber que un certificado ha sido revocado solo resulta útil si realmente puedes verificarlo. Ya sea para solucionar un TLS , auditar la infraestructura de revocación de tu CA o validar el estado de un certificado en un proceso de CI/CD, la capacidad de localizar, descargar e inspeccionar una lista de revocación de certificados (CRL) es una competencia fundamental en el ámbito de la PKI.

Esta guía te explica paso a paso cómo localizar el punto de distribución de la lista de certificados revocados (CRL) en un certificado, cómo descargar y leer la CRL con OpenSSL, Windows y EJBCA, y cómo interpretar los resultados. Si primero necesitas una base conceptual, leequé es una CRL.

Por qué es importante saber cómo consultar una CRL

La comprobación de las listas CRL es un paso esencial en una transacción basada en una PKI, ya que permiten verificar la identidad del propietario del sitio y determinar si el certificado asociado es fiable. Si no se puede confirmar que un certificado sigue siendo válido, no se puede confiar en la conexión que protege.

Para los administradores de PKI, esto implica comprender el proceso de comprobación de revocaciones a nivel operativo, y no solo a nivel conceptual. Para los ingenieros de DevOps que integran la validación de certificados en flujos de trabajo automatizados, significa saber qué comandos ejecutar, qué resultados esperar y cómo actuar en función de ellos.

Para conocer con más detalle en qué se diferencian las CRL del OCSP y cuándo utilizar cada una, lee el artículo«Lista de revocación de certificados (CRL) frente al Protocolo de estado de certificados en línea (OCSP): lo que necesitas saber». Paraobtener una visión general completa de las CRL, consulta nuestra guía sobrequé es una lista de revocación de certificados.

¿Qué se necesita para comprobar una CRL?

Para comprobar una CRL, necesitas dos cosas:

  1. La URL de la CRL.Se encuentra en la extensión «Puntos de distribución de la CRL» (CRL Distribution Points) del certificado que se está validando. Todos los certificados X.509 que admiten la comprobación de la CRL incluyen una o varias URL de CDP que apuntan al lugar donde la CA emisora publica su lista de revocación.
  2. Una herramienta para consultar la CRL.Entre las opciones más habituales se encuentran OpenSSL (Linux/macOS), la herramienta «certutil» de Windows, el visor de certificados integrado en tu navegador o una interfaz de administración de CA como EJBCA.

Cómo encontrar el punto de distribución de la CRL en un certificado

Antes de poder descargar una CRL, debes extraer la URL del CDP del certificado. A continuación te explicamos cómo hacerlo en un navegador y desde la command .

Cómo encontrar el CDP en tu navegador

Chrome y Edge:

  1. Accede al sitio web HTTPS cuyo certificado quieras comprobar.
  2. Haz clic en el icono del candado (o de la nota musical) de la barra de direcciones.
  3. Selecciona«La conexión es segura» y, a continuación, haz clic en«El certificado es válido».
  4. En el visor de certificados, abre la pestaña«Detalles».
  5. Desplázate hacia abajo hasta el campo«Puntos de distribución de CRL». El valor contiene una o varias URL en las que la CA publica su CRL.

Firefox:6. Haz clic en el icono del candado de la barra de direcciones. 7. Selecciona«Conexión segura» y, a continuación, haz clic en«Más información». 8. Haz clic en«Ver certificado». 9. En los detalles del certificado, busca el campo «Puntos de distribución de CRL». Firefox muestra las URL de las CRL directamente en el visor de certificados.

Cómo encontrar el CDP con OpenSSL

Si tienes el certificado en formato PEM, extrae el CDP con un solo command:

openssl x509 -in keyfactor-certificate.pem -noout -text | grep -A 4 "CRL Distribution Points" El resultado muestra la(s) URI en la(s) que la CA publica su CRL. Por ejemplo:
X509v3 CRL Distribution Points:
     Full Name:
            http://c.pki.goog/we1/KLRFxSqxaMw.crl

Copia esta URL para el siguiente paso.

Cómo descargar y consultar una CRL
Descarga de una CRL desde el CDP

Una vez que tengas la URL del CDP, descarga el archivo CRL utilizando curl o wget:


curl -o crl.der http://c.pki.goog/we1/KLRFxSqxaMw.crl

Sin embargo, la forma más sencilla es pegar la URL directamente en tu navegador web, y este descargará automáticamente el archivo CRL por ti.

Los archivos CRL suelen distribuirse en formato DER (binario). Si tus herramientas requieren el formato PEM, convierte el archivo tras descargarlo:

openssl crl -in crl.der -inform DER -outform PEM -out crl.pem

Visualización del contenido de la CRL con OpenSSL

En el caso de una CRL codificada mediante DER:

openssl crl -in crl.der -inform DER -text -noout

En el caso de una CRL codificada mediante PEM:

openssl crl -in crl.pem -text -noout

La salida incluye varios campos clave:

  • Emisor: la CA que firmó y publicó la CRL
  • Última actualización: cuando se generó la CRL
  • Próxima actualización: fecha prevista para la publicación de la próxima CRL
  • Extensiones del CRL: campos opcionales para proporcionar información adicional
  • Certificados revocados: una lista de entradas, cada una de las cuales contiene un número de serie, una fecha de revocación y (opcionalmente) un código de motivo
Certificate Revocation List (CRL):     Version 2 (0x1)     Signature Algorithm: ecdsa-with-SHA256     Issuer: C=US, O=Google Trust Services, CN=WE1     Last Update: Jun 18 08:21:38 2026 GMT     Next Update: Jun 28 07:21:37 2026 GMT     CRL extensions:         X509v3 Authority Key Identifier:              90:77:92:35:67:C4:FF:A8:CC:A9:E6:7B:D9:80:79:7B:CC:93:F9:38         X509v3 CRL Number:              5065         X509v3 Issuing Distribution Point: critical             Full Name:               URI:http://c.pki.goog/we1/KLRFxSqxaMw.crl             Only User Certificates  Revoked Certificates:     Serial Number: 8D91F2A7C4BE3D6217A8E5409B3C7F12         Revocation Date: Jun 16 23:44:08 2026 GMT     Serial Number: 1F5AC7D8E239B640A4C17E93D2F8B6A5         Revocation Date: Jun 16 23:44:11 2026 GMT     Serial Number: C7B84219F0D56AE3348C9127E5AB6D40         Revocation Date: Jun 17 19:44:02 2026 GMT     Serial Number: 2A4E8D6F91C3B750E7F1248AB5D93C61         Revocation Date: Apr  6 07:43:37 2026 GMT     Serial Number: B4F7E2A9136CD8507A8B14E2C59D7F03         Revocation Date: May 20 11:23:41 2026 GMT     Serial Number: 6E2B93D4A1F7085CC4E97A21D8B35F6A         Revocation Date: May 27 08:56:03 2026 GMT     Signature Algorithm: ecdsa-with-SHA256     Signature Value:         30:45:02:20:6a:7f:91:c3:e8:24:b1:5d:49:2e:73:8f:0c:57:         9a:de:14:63:28:b9:45:f1:7c:83:0a:dd:61:fe:32:8c:17:02:         21:00:d4:5b:8e:19:72:ac:f0:43:9d:61:b7:2e:c5:8a:34:ef:         7b:18:c2:4d:93:f6:a1:57:68:0f:3c:ba:51:9d:84

Cada entrada de una CRL incluye la identidad del certificado revocado y la fecha de revocación. La información opcional incluye un plazo, si la revocación se aplica durante un período de tiempo concreto, y el motivo de la revocación. Entre los códigos de motivo más habituales se encuentran «Compromiso de la clave», «Retirada de privilegios» y «Cese de la actividad».

Cómo ver el contenido de la CRL en Windows

Windows ofrece dos opciones para visualizar archivos CRL.

Uso de certutil:

certutil -dump crl.crl

Esto muestra el contenido de la CRL en un formato estructurado, incluyendo el emisor, las fechas de validez y la lista completa de revocaciones, de forma similar a la salida de OpenSSL que se muestra en la imagen anterior.

Cómo utilizar el visor de listas CRL de Windows:

Haz doble clic en un archivo .crl para abrir el visor de CRL integrado en Windows. La interfaz gráfica muestra el emisor, la fecha de vigencia, la fecha de la próxima actualización y una lista navegable de certificados revocados.

Cómo recuperar las listas CRL de EJBCA

Si su organización utiliza EJBCA autoridad de certificación, puede generar y descargar listas CRL directamente desde la interfaz de la CA.

Uso de la interfaz gráfica de usuario EJBCA

  1. En la interfaz web EJBCA , selecciona«Estructura de CA y CRL»en el menú.
  2. Para generar y publicar una nueva CRL de forma inmediata, haz clic en«Crear CRL».
  3. Para descargar una CRL ya existente, haz clic en el enlace«Descargar»situado junto a la CA correspondiente.

Uso de lacommand EJBCA

Generar una nueva CRL:

bin/ejbca.sh ca createcrl <CA name>

Recuperar la CRL actual:

bin/ejbca.sh ca getcrl

También puedes recuperar las CRL a través de la interfaz web EJBCA seleccionando«Certificados de CA y CRL»y especificando el parámetro «crlnumber» para descargar una versión concreta de la CRL.

Vídeo de demostración: cómo ver y comprobar una lista de certificados revocados

Si quieres ver una guía paso a paso, el canal de YouTube Keyfactor Developers» ofrece un tutorial sobre cómo recuperar listas CRL desde EJBCA, en el que se explica dónde encontrar las listas CRL, cuáles son los mejores métodos para recuperarlas y cómo configurar los puntos de distribución de listas CRL.

Elementos importantes que hay que tener en cuenta al consultar una CRL

Cuando abras una CRL, presta atención a estos campos:

  • Emisor: identifica la CA que firmó y publicó la CRL. Comprueba que coincida con la CA esperada.
  • En esta actualización: la fecha y la hora en que se generó la CRL. Si la fecha que aparece aquí está desactualizada, es posible que la CA no esté publicando según lo previsto.
  • Próxima actualización: la fecha y la hora en que se espera recibir la próxima CRL. Si la hora actual es posterior a este valor, la CRL ha caducado y no debe considerarse fiable.

Comprobar si un certificado concreto ha sido revocado:

  1. Abre el certificado que quieras validar y anota sunúmero de serie(que aparece en los detalles del certificado).
  2. Abre la CRL y busca ese número de serie en la lista de certificados revocados.
  3. Si aparece el número de serie: el certificado ha sido revocado. La entrada muestra la fecha de revocación, el código de motivo y (si procede) una fecha de caducidad en caso de revocación con efecto retroactivo.
  4. Si no aparece el número de serie: el certificado no ha sido revocado y se encuentra en regla (según esta CRL).

Solución de problemas relacionados con los errores en la comprobación de las listas CRL

Cuando fallan las comprobaciones de CRL, la causa suele pertenecer a una de estas categorías.

CDP inaccesible.El CDP debe estar accesible en todo momento para garantizar que los dispositivos o las aplicaciones puedan recuperar la nueva CRL cuando sea necesario. De lo contrario, no es posible determinar el estado del certificado en cuestión y las comprobaciones del estado de revocación del certificado fallarán. Comprueba la conectividad de red, DNS y las reglas del cortafuegos para la URL del CDP.

Lista de certificados revocados (CRL) caducada. Su CRL ha caducado o no es accesible, por lo que todos sus certificados podrían quedar inutilizables de forma inmediata. Supervise de forma proactiva la caducidad de la CRL y asegúrese de que la autoridad de certificación (CA) la publique según lo previsto.

Rendimiento de las CRL de gran tamaño.Las CRL extremadamente grandes pueden provocar tiempos de espera agotados durante la descarga o el análisis. En EJBCA empresariales EJBCA , esto puede requerir un ajuste de la base de datos, un aumento de los umbrales de tiempo de espera y nodos dedicados a la generación de CRL para mantener un rendimiento aceptable. También se puede considerar la posibilidad de pasar a utilizar CRL particionadas para aumentar el rendimiento.

Incompatibilidad de formatos.Si una herramienta espera el formato PEM pero recibe DER (o al revés), el análisis fallará. Convierte entre formatos utilizando OpenSSL:

# DER to PEM 
openssl crl -in crl.der -inform DER -outform PEM -out crl.pem  
# PEM to DER 
openssl crl -in crl.pem -inform PEM -outform DER -out crl.der

Si tus comprobaciones de CRL son sistemáticamente lentas, plantéate complementarlas con OCSP para realizar comprobaciones de estado en tiempo real. Obtén más información en«CRL frente a OCSP: lo que necesitas saber».

¿Tienes alguna pregunta sobre CRL? Tenemos las respuestas.

¿Cómo puedo comprobar si un certificado ha sido revocado?
Extrae el número de serie del certificado de sus datos y, a continuación, descarga la lista CRL del CDP que figura en el certificado. Busca ese número de serie en la lista de certificados revocados de la CRL. Si aparece, el certificado ha sido revocado.

¿Qué herramientas puedo utilizar para visualizar una CRL?
OpenSSL es la herramienta más utilizada para visualizar CRL en Linux y macOS. En Windows, se pueden utilizar certutil y el visor de CRL integrado (haciendo doble clic en el archivo .crl). Las plataformas de CA como EJBCA también permiten visualizar y descargar listas CRL a través de sus interfaces de administración.

¿Qué información contiene una CRL?
Una CRL incluye el emisor (la CA que la ha publicado), la fecha de generación, la próxima fecha prevista de actualización y una lista de certificados revocados. Cada entrada revocada contiene el número de serie del certificado, la fecha de revocación y un código de motivo opcional.

¿Cómo puedo encontrar el punto de distribución de la CRL en un certificado?
Abre el certificado en el visor de certificados de un navegador o utiliza OpenSSL (openssl x509 -in cert.pem -noout -text) y busca la extensión «CRL Distribution Points». Este campo contiene las URL en las que la CA publica su CRL.

¿Qué es una CRL delta?
Una CRL delta contiene únicamente los certificados que han sido revocados desde la publicación de la última CRL completa. Las CRL delta reducen el ancho de banda y la carga de análisis al complementar la CRL base con actualizaciones incrementales, en lugar de volver a publicar la lista completa.

¿Por qué podría fallar una comprobación de la CRL?
Entre las causas más comunes se encuentran un CDP inaccesible (problemas de red o de cortafuegos), una CRL caducada (la CA no la ha publicado a tiempo), una discrepancia de formato (DER frente a PEM) o que el archivo CRL sea demasiado grande para que el cliente pueda descargarlo y analizarlo dentro del plazo de espera establecido.

¿Con qué frecuencia debo comprobar las CRL?
Normalmente, los clientes almacenan la CRL en caché hasta que caduca la marca de tiempo de la «próxima actualización» y, a continuación, descargan una copia actualizada. Para una supervisión proactiva, comprueba continuamente la disponibilidad y la vigencia de las CRL mediante herramientas automatizadas, de modo que puedas detectar problemas de caducidad o disponibilidad antes de que provoquen interrupciones del servicio.

¿Puedo automatizar la supervisión de las CRL?
Sí. Las plataformas de gestión del ciclo de vida de los certificados, como Keyfactor Command ofrecen supervisión automatizada de las CRL y el OCSP, avisando a los equipos antes de que caduquen las CRL o de que los CDP dejen de estar accesibles. También puedes crear scripts de comprobaciones periódicas utilizando OpenSSL y tareas cron para una supervisión sencilla.

cuadrado Keyfactor logotipo

Autor

Equipo de Keyfactor

Más publicaciones de Keyfactor

Publicaciones relacionadas

Ver toda la PKI
PKI

El coste real de la PKI: cuánto cuesta la gestión de certificados

Junio 22, 2026
PKI

Lista de revocación de certificados (CRL) frente al Protocolo de estado de certificados en línea (OCSP): lo que hay que saber

Junio 8, 2026
PKI

Lo que descubrió Forrester al entrevistar a cinco Keyfactor

Mayo 22, 2026